Onderzoeker kan wachtwoorden achter pixels lezen: 'Het is nog geen magic wand'

Een Nederlandse beveiligingsonderzoeker heeft een tool gemaakt waarmee gepixeliseerde wachtwoorden te achterhalen zijn. Of beter gezegd, in sommige gevallen, vertelt Sipke Mellema aan Tweakers. De tool kan nog niet alles, maar heeft wel mogelijkheden voor de toekomst.

Pixeliseren komt voor wanneer iemand een stuk tekst wil verbergen, zoals een wachtwoord of andere gevoelige informatie. Dat kan op verschillende manieren, bijvoorbeeld door er een grote zwarte balk overheen te zetten of het simpelweg uit een document te knippen. Een andere populaire methode is om het te blurren door pixels uit te vergroten en over het wachtwoord heen te zetten. Sipke Mellema kwam onlangs in zijn werk als pentester een wachtwoord tegen dat met pixels was weggelakt. Dat zag hij als uitdaging, zegt hij tegen Tweakers. "Ik wilde daar een finding van maken en ben aan de slag gegaan om te kijken of ik de tekst erachter kon achterhalen."

Dat lukte: Mellema bouwde een proof-of-concept genaamd Depix en zette dat op GitHub, en hij schreef een blogpost die inmiddels veelvuldig wordt gedeeld. Wel zijn sommige gebruikers ervan misschien iets te optimistisch over de mogelijkheden, vreest Mellema. "Non-tech mensen denken dat ik een soort magic wand heb waarmee ik kan zwaaien en alle blurs kan terugtoveren naar tekst, maar Depix werkt alleen voor bepaalde verpixelingen."

Depix kan teksten dus achterhalen van achter pixels. Dat kan als het pixeliseringsalgoritme gebruikmaakt van een box filter. "Een box filter zorgt ervoor dat een afbeelding in kleine blokjes wordt opgedeeld", legt Mellema uit. "Dan worden bijvoorbeeld iedere vijf bij vijf pixels een blok. Vervolgens berekent het algoritme de gemiddelde waarde van die pixels en wordt het block weggeschreven." Die waarde kan, in sommige gevallen althans, worden gebruikt om de oorspronkelijke pixels te achterhalen.

Depix

Dat proces kan ook bijvoorbeeld bij afbeeldingen worden toegepast, maar het 'depixelen' is dan te moeilijk. Mellema: "Onder een afbeelding kan iedere willekeurige configuratie van pixels staan. Het is niet te doen om dat te achterhalen, want er zijn te veel mogelijkheden om er een waarde uit te destilleren." Maar met tekst is dat wél mogelijk, zo bedacht Mellema. Het aantal mogelijke tekens is namelijk relatief beperkt.

De Depix-tool gebruikt een vrij simpele dataset. Eigenlijk mag je het niet eens een dataset noemen; het gaat om een screenshot van een groep tekens bij elkaar. Daarop staan alle combinaties van twee tekens die je mogelijk in een wachtwoord nodig hebt, een zogenaamde De Bruijn-sequentie. Dat is volgens Mellema nodig, omdat bij het verpixelen soms pixels van twee tekens overlappen. "Je moet dus niet alleen kijken naar 'a' of 'aa', maar ook naar 'ab', 'ac' enzovoorts."

overlap

Mede daarom is Mellema's PoC nog relatief beperkt. Depix kan bijvoorbeeld maar met slechts een bepaald font overweg dat in het screenshot wordt gebruikt. "Maar je kunt het natuurlijk uitbreiden door de tool eerst een ander font te laten herkennen en vervolgens dat te 'ontpixelen'. Op dezelfde manier moet de tool dan ook kunnen omgaan met saturation en helderheid." Het probleem is dat de Python-libraries die hij gebruikte niet goed genoeg overweg konden met verschillende fonts en saturation. "Maar ik denk dat als iemand daar tijd in steekt dat het veel beter kan worden."

De Bruijn sequentie

Depix is toegespitst op één specifiek pixeliseringsalgoritme. Mellema keek naar Greenshot, een opensource Windows-tool voor het maken van screenshots waar een dergelijke functie zit ingebouwd. "Er zijn heel veel verschillende blur-opties, bijvoorbeeld in Gimp of Photoshop. Ik heb gebruik gemaakt van het algoritme dat Greenshot gebruikt. Daarna heb ik ook gekeken naar Gimp, dat opensource is. Dat lijkt ook een box filter te gebruiken, maar dat heeft net een iets andere implementatie. Mijn tool kijkt daarnaast ook niet naar alpha-channels naast rgb's, wat sommige blur-tools wel gebruiken." Wel denkt Mellema dat de tool gemakkelijk kan worden uitgebreid door ook dergelijke andere algoritmes toe te voegen.

Perfect is Depix dus nog niet. Er komen nog regelmatig vals-positieven uit en het heeft een beperkte capaciteit. Maar Mellema zegt wel dat er veel potentie in zit. "Je kunt er nog allemaal vette dingen mee doen, bijvoorbeeld automatische font- of patroonherkenning, het genereren van de De Bruijn-sequentie voor snelheid en eventueel zelfs machine learning voor het filteren van vals-positieven." Ondertussen ben je waarschijnlijk het beste af om wachtwoorden achter een zwarte streep te zetten als je die toch in presentaties wil tonen. Voor de zekerheid.

Reacties (120)

Aardedraadje

8 december 2020 17:07

Je kunt op een afbeelding verschillende algoritmes loslaten. Als het algoritme zich voorspelbaar gedraagt, dan is het relatief eenvoudig een link te leggen tussen de input en output.

Het doet me een beetje denken aan een waarschuwing van Tonu Samuel in 2007. Hij schreef dat aangepaste afbeeldingen soms nog het origineel bevatten in de EXIF-data. Het originele brondocument is ondertussen offline, maar hier staat een samenvatting van security.nl met voorbeelden. Stel dus dat je je wachtwoord of andere gevoelige data doorhaalt en onherkenbaar maakt, staat er in de EXIF-data gewoon nog een origineel en daar gaan je gegevens.

Het is dus belangrijk dat - naast het toepassen van een onomkeerbaar algoritme - je ook de thumbnail en andere EXIF data weggooit.

djwice

@Aardedraadje • 9 december 2020 10:05

Sterker nog de EU heeft een document gepubliceerd over anonimiseren van data, wetenschappelijk onderbouwd, waaruit blijkt dat vrijwel alle anoniemisering binnen enkele seconden tot maximaal een minuut of twee op een reguliere laptop te herleiden zijn tot de originele data. Uitgelegd met voorbeelden met de meest gebruikte data types en anoniemiseringsalgortimes.

Maskeren van een deel van het beeld, zeker door het gewogen gemiddelde te nemen is te herleiden, zeker in bewegende beelden. Denk bijvoorbeeld simpelweg aan HDR dat werkt vergelijkbaar. Zelfde als het resolutie/detail verbeteren van oude films.

Allemaal gebaseerd op dezelfde techniek.
Zeker als je kunt achterhalen welk lettertype en letter grote gemaskeerd is reduceert dat de complexiteit tot slechts enkele tientallen mogelijke oplossingen, hoe meer grijstinten / RGB kleuren gebruikt in de maak, hoe makkelijker de mapping.

Samengevat: data niet maskeren, maar simpelweg niet delen of vervangen door een 100% onafhankelijke fake. Met deze tool bijvoorbeeld https://github.com/marak/Faker.js/

[Reactie gewijzigd door djwice op 22 juli 2024 18:21]

Gman @Aardedraadje • 9 december 2020 17:58

Ik kan me niet voorstellen dat het origineel *ergens* nog zit want dan wordt de grootte in bytes wel erg groot.
In jouw gelinkte artikel hebben ze het over een embedded thumbnail, kijk dat klopt dan weer wel.

Maar 1 ding is sowieso duidelijk: je moet opletten

Gman 8 december 2020 15:04

Doe me denken aan een artikel over een kindermisbruiker die onherkenbaar gemaakt was op een foto, zo'n draai effect was toegepast op het gezicht.
Dit hebben onderzoekers kunnen reverse engineeren en de foto edit grotendeels ongedaan kunnen maken.
Daarop is de persoon opgepakt omdat die ineens herkenbaar werd.

o.a. hier een artikel erover: https://thelede.blogs.nyt...ls-a-suspected-pedophile/
Al lees je in de comments dat dit "relatief eenvoudig te doen is in Photoshop".
Wellicht dat iemand weet of het ook echt zo makkelijk is.

Auteur

TijsZonderH Nieuwscoördinator @Gman • 8 december 2020 15:05

Ik denk dat dat heel erg af hangt van het algoritme dat gebruikt wordt. Die van Photoshop zijn bekend maar denk niet openbaar, ik weet niet hoe makkelijk dat te achterhalen is.

laptopleon @TijsZonderH • 8 december 2020 15:15

Je kunt dat 'swirl' effect gewoon zelf nog een keer doen, in photoshop en dergelijke, maar dan de andere kant op..

Als je een beetje experimenteert qua exacte waarde zie je waarschijnlijk na een paar pogingen precies hoe ver je terug moet draaikolken en krijg je het originele beeld ongeveer weer te zien. Gaat altijd wat info verloren natuurlijk dus het beeld wordt er niet mooier op maar toch.

Auteur

TijsZonderH Nieuwscoördinator @laptopleon • 8 december 2020 15:18

Ik ken dat effect (en Photoshop in het algemeen) niet goed genoeg, ik weet niet of dat om een algoritme gaat of niet. Dat wist ik tot vanochtend overigens ook niet over pixelaten dus ik zou er niet van staan te kijken als het bij Adobe ook zo werkt.

.oisyn Moderator Devschuur® @TijsZonderH • 8 december 2020 15:27

ik weet niet of dat om een algoritme gaat of niet

Alles wat een computer doet is een algoritme

Hoe dan ook, als je zelf het effect kan toepassen is het vervolgens niet heel lastig om het effect te reverse engineeren door het zelfgekozen sample data te voeren. Neem bijvoorbeeld het swirl effect. Pak een zwart plaatje met 1 pixel wit, pas de swirl toe en analyseer het resultaat. De grijstinten in het resultaat geven vervolgens weer hoeveel die ene witte bronpixel bijdraagt aan de doelpixels. Herhaal dat voor elk pixel in je plaatje, en je hebt een volledige mapping van bron naar doel. Daaruit zou je ook een omgekeerde mapping kunnen destilleren.

[Reactie gewijzigd door .oisyn op 22 juli 2024 18:21]

Cerberus_tm

@.oisyn • 8 december 2020 16:23

Het hangt er net van af of de mutatie destructief is of niet. Zo ja, dan kun je nooit alle informatie terughalen. Zo nee, dan kan het in theorie wel. Of de draai van Photoshop destructief is weet ik niet, maar misschien wel.

[Reactie gewijzigd door Cerberus_tm op 22 juli 2024 18:21]

Skylake @Cerberus_tm • 8 december 2020 16:36

Ik neem aan dat de motivatie van photoshop niet per definitie is om te anonimiseren. Hierdoor denk ik dat de toepassing van zo een filter omkeerbaar kan zijn.
Stel, jij maakt een plek om voorwerpen op te slaan. Gewoon, omdat het leuk is. Dit betekent niet dat je er ook een deur met slot voor zet, puur omdat het niet het doel is. Ik denk dat photoshop er hetzelfde over dacht. Het doel van de swirl was niet om je illegale acties te anonimiseren

Cerberus_tm

@Skylake • 8 december 2020 16:46

Dat is mogelijk. Maar het kan onbedoeld destructief zijn. Ik heb het even geprobeerd, en het filter 'Twirl' in Photoshop is inderdaad destructief. Hier is het resultaat als je eerst 999 graden met de klok mee doet, en daarna nogmaals 999 graden tegen de klok in:
https://i.imgur.com/4oQPL7F.jpg
Niet meer leesbaar. Met een kleinere hoek gaat er minder informatie verloren, maar je ziet ook dan dat het duidelijk destructief is.

Skylake @Cerberus_tm • 8 december 2020 16:50

Het is ongetwijfeld mogelijk dat het destructief is, maar het zal niet het hoofddoel zijn. Uit de test komt dat er in ieder geval iets verloren raakt, echter niet alles.

In ieder geval interessant om te zien!

Cerberus_tm

@Skylake • 8 december 2020 16:55

O, ik ben het zeker met je eens dat destructiviteit hier niet het doel van Photoshop is. Het ging mij er meer om dat destructiviteit er al snel insluipt, bedoeld dan wel onbedoeld, en dingen al snel niet omkeerbaar zijn, dit als reactie op wat Oisyn zei.

[Reactie gewijzigd door Cerberus_tm op 22 juli 2024 18:21]

tisvonkje @Cerberus_tm • 8 december 2020 17:02

sommige bewerkingen zijn inverteerbaar (dus er is een inverse bewerking te vinden die het origineel terugbrengt). inverteerbare operaties zijn dus niet destructief volgens jouw definitie. Echter hoeft het niet zo te zijn dat de inverse operatie gelijk is aan det draaien de andere kant op.

Cerberus_tm

@tisvonkje • 8 december 2020 17:26

Op zich mee eens, het was geen bewijs.

[Reactie gewijzigd door Cerberus_tm op 22 juli 2024 18:21]

steveman @Cerberus_tm • 11 december 2020 11:55

Deze conclusie is denk ik te voorbarig. Je kunt je effect niet ongedaan maken met dezelfde operatie in omgekeerde richting, ok. Maar dat wil niet zeggen dat er geen andere operatie mogelijk is.

.oisyn Moderator Devschuur® @Cerberus_tm • 8 december 2020 16:29

Zo ja, dan kun je nooit alle informatie terughalen

Je hoeft ook niet alle informatie terug te kunnen halen. Als het resultaat maar herkenbaar genoeg is.

Cerberus_tm

@.oisyn • 8 december 2020 16:37

Niet alle, maar het is de vraag of je genoeg informatie kunt terughalen. In dat ene geval kon het blijkbaar wel, maar ik ken de methode van Photoshop niet.

[Edit:] Even geprobeerd met 'Twirl' in Photoshop, eerst 999 graden, daarna min 999 graden om het terug te draaien. Er gaat behoorlijk veel informatie verloren, het is niet meer leesbaar:
https://i.imgur.com/4oQPL7F.jpg
Misschien is er een andere manier om de informatie terug te halen, maar ik denk dat dit algorisme dus vrij destructief is.

[Reactie gewijzigd door Cerberus_tm op 22 juli 2024 18:21]

.oisyn Moderator Devschuur® @Cerberus_tm • 8 december 2020 16:47

Ik snap niet waarom we deze discussie überhaupt voeren

. Natuurlijk verlies je informatie. Maar uiteindelijk betreffen de meeste effecten gewoon een lineaire transformatie. Niet alle transformaties zijn inverteerbaar, maar je kunt met de beschikbare data over het algemeen wel een goede benadering zoeken. Het ligt aan de gebruikte kernel of het resultaat goed genoeg is om redelijk om te keren. Zeker als de input beperkt is, zoals in dit artikel.

[Reactie gewijzigd door .oisyn op 22 juli 2024 18:21]

Cerberus_tm

@.oisyn • 8 december 2020 16:53

Omdat deze uitspraak van jou volgens mij niet geheel klopt (zie mijn wijziging hierboven):

Hoe dan ook, als je zelf het effect kan toepassen is het vervolgens niet heel lastig om het effect te reverse engineeren door het zelfgekozen sample data te voeren. Neem bijvoorbeeld het swirl effect. ... Daaruit zou je ook een omgekeerde mapping kunnen destilleren.

Het is inderdaad niet volledig relevant voor het artikel.

[Reactie gewijzigd door Cerberus_tm op 22 juli 2024 18:21]

.oisyn Moderator Devschuur® @Cerberus_tm • 8 december 2020 17:30

Wat klopt er dan niet geheel aan? Dat het niet heel lastig is om te reverse engineeren, of dat je daar mogelijk een omgekeerde mapping uit kunt destilleren?

Wat betreft je edit, natuurlijk werkt het niet door gewoon de twirl de andere kant op te doen. Ze gebruiken een bepaalde sampling om de gemiddelde tussen pixels te bepalen, die is niet ineens andersom als je de andere kant op draait.

[Reactie gewijzigd door .oisyn op 22 juli 2024 18:21]

Cerberus_tm

@.oisyn • 8 december 2020 19:24

dat je daar mogelijk een omgekeerde mapping uit kunt destilleren

Zonder "mogelijk" klopt dit m.i. inderdaad niet. Waar het mij om gaat was te benadrukken dat het feit dat je weet hoe iets werkt, vaak niet betekent dat je het (naar tevredenheid) terug kunt draaien. Dat leek een beetje onderbelicht te worden in de discussie.

Ze gebruiken een bepaalde sampling om de gemiddelde tussen pixels te bepalen, die is niet ineens andersom als je de andere kant op draait.

Fair enough. (Zo'n sampling suggereert wel dat het mogelijkerwijs sowieso destructief zal zijn.)

[Reactie gewijzigd door Cerberus_tm op 22 juli 2024 18:21]

.oisyn Moderator Devschuur® @Cerberus_tm • 8 december 2020 19:29

Daarom zei ik ook "zou ... kunnen"

Cerberus_tm

@.oisyn • 8 december 2020 22:29

Ja, ja!

Zoop @TijsZonderH • 8 december 2020 15:24

Zeker, maar dat gaat voor dit verhaal ook op, een standaard blur of pixelation is nog wel te doen, maar wordt al stuk ingewikkelder wanneer je iets niet-standaards gebruikt.

Maar punt blijft hetzelfde, het is niet onmogelijk. Op deze manier data obscuren is geen failsafe oplossing. De enige manier om het echt te doen, is letterlijk afplakken, een zwart blok er overheen of iets dergelijks. En daar mensen bewust van maken door middel van dit artikel, vind ik wel een goede zaak.

Denk aan iets simpels zoals het aanleveren van een kopie van je ID of rijbewijs, en een blur effectje gebruiken om je bsn te obscuren. Als iemand kwaad wil, de moeite en tijd er in wil steken, dan IS het te achterhalen.

mjz2cool @TijsZonderH • 8 december 2020 15:29

In het gelinkte artikel over het terug herkenbaar maken van een persoon is het een eenvoudige swirl, je hoeft daar alleen het exacte punt te benaderen waar die swirl omheen draait, en dan het effect omgekeerd toepassen. Algoritme of niet, dat wordt wel door Photoshop geregeld.

laptopleon @TijsZonderH • 8 december 2020 15:31

De pedovondst heeft ooit op tweakers nieuws gestaan.

Ik weet niet of je een photoshop-filter een algoritme mag noemen, maar de definitie van een algoritme is erg ruim, dus ja, bijna alles waar een 'if' achtige situatie in kan zitten, is een algoritme en dat heb je al snel bij ongeveer alles wat een computer doet.

Dit doet ook denken aan het 'verscherpen' van gezichten voorbij de gegeven resolutie. Er stond een jaar of zo terug een artikel over hier op t.net nieuws maar ik kan het niet zo 1, 2, 3 terugvinden.

bytemaster460 @Gman • 8 december 2020 15:14

Ik denk dat in dat geval de pixels allemaal over een vaste afstand (en niet vaste hoek) geroteerd zijn. Dat is dan relatief gemakkelijk terug te draaien.

.oisyn Moderator Devschuur® @bytemaster460 • 8 december 2020 15:32

De hoek is omgekeerd evenredig met de afstand tot het middenpunt.

bytemaster460 @.oisyn • 8 december 2020 15:48

Wat ik bedoelde is dat wanneer je alle pixel over eenzelfde hoek roteert, je gewoon de hele foto kantelt. Wanneer je iedere pixel over eenzelfde relatieve afstand roteert, vervormt het plaatje wel volledig. De buitenste pixels draaien dan bijv 180 graden terwijl de binnenste bijv. 2500 graden draaien.

.oisyn Moderator Devschuur® @bytemaster460 • 8 december 2020 15:50

Dat zeg ik dus

De hoek waarmee ze roteren is omgekeerd evenredig met de afstand tot het middenpunt. Op de buitenste cirkel is de hoek 0, en hoe verder je richting het middelpunt gaat, hoe groter de hoek wordt.

Alex3 @.oisyn • 8 december 2020 17:23

Als de hoek omgekeerd evenredig met de afstand is kan hij nooit 0 zijn.

.oisyn Moderator Devschuur® @Alex3 • 8 december 2020 17:36

Ah je hebt natuurlijk gelijk. Ik ging even uit van een dalende rechte lijn ipv een stijgende, maar de grafiek bij omgekeerd evenredigheid volgt natuurlijk die van y = c/x en niet y = -ax+b. Mea culpa

[Reactie gewijzigd door .oisyn op 22 juli 2024 18:21]

Alex3 @.oisyn • 8 december 2020 17:41

$_/-\o_$

Verwijderd @Gman • 8 december 2020 15:24

Ik denk dat ook alleen maar als bewijs aanvaard wordt als hetzelfde maskeer-algoritme in tegenovergestelde richting het originele resultaat oplevert.

Als het reversen via machine-learning wordt gedaan (wat eigenlijk neerkomt op "giswerk"), zal de bewijslast toch een pak lager liggen (of zelfs misschien onbestaande). Er zijn genoeg artikels over bias en machine-learning geschreven, die zullen hier ook wel van toepassing zijn.

Rutje! @Gman • 8 december 2020 16:20

Het is uiteindelijk allemaal deconvolutie. De truc zit hem in het vinden van de juiste "point spread function". Dat kan je (deels) wel automatisch bepalen door te optimaliseren voor iets als contrast/entropie in de afbeelding.

Software die bijvoorbeeld automatisch bewegingsonscherpte uit een foto haalt doet iets vergelijkbaars.

MsG @Gman • 9 december 2020 07:44

Die is natuurlijk relatief makkelijk omdat er min of meer geen gegevens verloren zijn gegaan en de pixels alleen worden verplaatst. Bij een blur verlies je daadwerkelijk pixels. Ken ook wel artikelen die gaan over het uitzoomen bij geblurde info. Op een of andere manier is het dan soms ineens beter leesbaar.
Gebruik zelf dan ook altijd gewoon een zwarte balk, daar kan je weinig meer uit herleiden.

Ras @Gman • 9 december 2020 11:53

Doet mij hier aan denken: CSI zoom enhancement.
https://www.youtube.com/watch?v=I_8ZH1Ggjk0
Het kan dus toch!

[Reactie gewijzigd door Ras op 22 juli 2024 18:21]

monojack 8 december 2020 14:59

Ben ik nu de enigste die hier bij denkt: Waarom zou je dit willen? Ik weet wie dit zou willen maar dan kom je of bij criminelen of bij de inlichtingendiensten of mis ik iets?

dgompie

@monojack • 8 december 2020 15:01

Het is meer als waarschuwing: haal de pixels weg voor gevoelige tekstuele informatie, gebruik geen blur.

GoldenLeafBird @dgompie • 8 december 2020 15:18

Als je niet wil dat iets gevonden wordt, moet het in de eerste plaats niet bestaan.
Überhaubt snap ik dat blurren niet, het geeft je al informatie over het wachtwoord, zoals lengte.

rubenkemp @GoldenLeafBird • 8 december 2020 15:51

Zelfde met foto's van (gezochte) criminelen. Die zwarte balk voor de ogen is leuk, maar er zijn zeker mogelijkheden tot herkenning die verdergaan dan de 20-30 mensen die hem misschien persoonlijk kennen opsporen. Ook bij video waar mensen 'onherkenbaar' in beeld zijn gebracht en een stemvervormer gebruikt is gaat het vooral om de gewone kijker die niet meer kan achterhalen wie het is. Iemand die echt veel moeite doet lukt het vaak wel.

BLACKfm @rubenkemp • 9 december 2020 17:24

Nog maar te zwijgen over 'videoeditors' die één frame te laat of te vroeg voor de scene de blur in- of uitschakelen. De blur niet goed meeverhuizen met de bewegingen van iemands gezicht, reflecties niet blurren.

Voor een verdachte/misdadiger zal het wel iets strenger verlopen dan dat iemand onherkenbaar wordt gemaakt bij een programma als 'wegmisbruikers', maar het gaat maar wat vaak mis.

Staan ze bij iemand aan de deur, straatnaambordje laten ze in een flits (hoekje van de video) wel zien, maar het huisnummer wordt geblurred. 2 shots verder is óf de blur weg of je ziet het huisnummer van de buren. Kentekens die half-half worden geblurred, waar in het ene shot de linkerhelft is te zien en in een ander shot de andere helft. Gezichten/objecten die pas worden geblurred als ze 'binnen bereik' komen. Niet rekeninghoudend dat dit misschien voldoende is voor een smartphone (klein beeld), maar op een 60" televisie het gewoon een heldere foto is voordat de blur in beeld komt XD.

En dat soort mensen krijgen dus gewoon geld voor hun 'werk'

YopY @GoldenLeafBird • 8 december 2020 15:53

Als je het echt zo wilt presenteren moet je ook de originele content aanpassen voordat je het blurt, ook qua lengte.

Ik zie wel eens in password velden dat ze een vast aantal sterretjes laten zien dat niet overeenkomt met de lengte van je daadwerkelijke password.

Despen @GoldenLeafBird • 9 december 2020 07:47

Ik ben software tester van beroep en ik gebruik heel vaak de pixelate functie om issues in te schieten.

Dit doe ik niet om gevoelige data te verbergen, maar om de aandacht niet af te laten leiden door grote lappen tekst.

Als je niet wil dat gevoelige data op straat komt middels een screengrab, moet je het gewoon verwijderen.

mjz2cool @GoldenLeafBird • 8 december 2020 15:42

Een goed voorbeeld is het delen van een screenshot met iemand. Als je dan een balk over de gevoelige informatie plaatst is er niets aan de hand, zolang het originele screenshot maar op je apparaat blijft. Wat in dit soort gevallen vaak gebeurt is dat er overheen "getekend" wordt, maar dat is vaak deels transparant afhankelijk van hoe vaak je er overheen gaat.

GoldenLeafBird @mjz2cool • 8 december 2020 16:34

Er zijn voorbeelden van PDF files die slecht zwart gemaakt worden waardoor met simpele copy/paste handelingen de tekst zichtbaar werd. Voorbeeld 1 en voorbeeld 2.

Wolfos @dgompie • 8 december 2020 15:18

Het is al jaren zo dat verschillende soorten blurs teruggedraait kunnen worden. Dus mocht je een screenshot maken met gevoelige informatie, dan is verwijderen inderdaad de enige optie. Zwarte balk eroverheen en niemand kan het nog uitlezen.

[Reactie gewijzigd door Wolfos op 22 juli 2024 18:21]

YopY @Wolfos • 8 december 2020 15:52

Maar ook daar moet je voorzichtig mee zijn, zeker als je een PDF bewerkt (vaak kunnen ze weggehaald worden, de onderliggende tekst wordt bewaard).

Maar gewoon een platte foto in paint gooien, balk eroverheen is prima.

djwice

@dgompie • 9 december 2020 10:10

Klopt: waarschuwing is: gebruik geen data masking. Deel de data gewoon niet.

Mijn aanvulling: zelfs niet de (visuele) lengte van de data.

Vizzie @monojack • 8 december 2020 15:02

Eh het werk van deze man is het opsporen van gaten in beveiliging.

Dit is een vorm van beveiliging die blijkbaar een gat vertoont. Als er geen criminelen enz waren hadden we geen beveiliging nodig. Beetje een open deur dat goedwillende mensen dit niet willen doen.

Voor de goedwillende meerderheid wel handig om te weten dat dit geen goede beveiliging is toch?

[Reactie gewijzigd door Vizzie op 22 juli 2024 18:21]

monojack @Vizzie • 8 december 2020 15:25

Heb ik dan verkeerd begrepen dat hij een programma Depix maakt?

AntiSocial @monojack • 8 december 2020 15:48

Nee, dat heeft hij gemaakt. Het is daarmee een bewijs dat het blurren een zwakke vorm van obfuscatie is. De waarde van dit soort 'proof of concepts' haakt een beetje aan bij de 'assume breach' gedachte bij security. Ga er vanuit dat je gehackt bent. Ofwel, als dit technisch mogelijk is (nu bewezen) ga er vanuit dat het gebeurt en dat je er slachtoffer van bent/wordt.

En handel vervolgens dus naar die kennis - niet meer blurren, maar wegpoetsen of blok er overheen. Zonder een praktisch voorbeeld als Depix blijft het een discussie 'ja, in theorie is het misschien wel mogelijk, maar....'

rubenkemp @monojack • 8 december 2020 15:52

Waarmee hij probeert te verkondigen dat deze pixelation zo je wil dus geen veilige methode is om te gebruiken. Als je alleen maar een artikeltje op Tweakers krijgt zal het publiek niet groot zijn.

McBacon @monojack • 8 december 2020 16:03

Proof of concepts worden altijd gebruikt bij het aantonen van een (security) issue, anders lul je maar wat. ;] Het is nou niet echt een geavanceerd/uitgebreid of gebruiksvriendelijk "programma". En het werkt alleen in zeer specifieke gevallen, puur om aan te tonen dat het mogelijk ís om een blur terug te draaien.

Melkunie @monojack • 8 december 2020 15:01

Het lijkt me goed om te weten dat dit tegenwoordig mogelijk is.
Deze onderzoeker maakt dit netjes bekend, maar als een groep criminelen deze techniek zou (door)ontwikkelen zouden ze dit geheim houden zodat de techniek waarde voor ze behoudt.

Kewne @monojack • 8 december 2020 15:03

Het was al heel veel jaar bekend dat dit kon (heb iemand het op een wat groter font een keer met de hand zien doen), maar niemand had het daadwerkelijk publiek gemaakt. Nu is er eindelijk een heel goede en duidelijke aanwijsbare reden om van pixel filters af te stappen.

HuHu @monojack • 8 december 2020 15:04

Een soortgelijk trucje is een paar jaar geleden toegepast bij Wie is de Mol. In de teaser voor de volgende aflevering was (pixellated) het invoerveld op een laptopscherm zichtbaar waarin de naam van de volgende afvaller stond. Dat was makkelijker te doen, want het aantal mogelijke namen is natuurlijk beperkt. Maar het concept (delen van letters en namen matchen) is hetzelfde.

Dit is een andere toepassing van super-resolutie technieken die al jaren bestaan. Bijvoorbeeld met toepassingen in medische beelden, gescande documenten, etc.

wica @monojack • 8 december 2020 15:04

Of nieuwsgierige mensen.
Wachtwoorden vind ik niet zo interessant, maar de mogelijkheid om geblurde tekst weer lees te maken, vind ik zeer interessant.

inhico @monojack • 8 december 2020 15:05

Nou, een paar redenen:
- omdat het kan,
- onveiligheid aantonen, zodat mensen kunnen overstappen op veiliger methoden,
- misschien is het de hoop dat dit een eerste stap is op weg naar deblurren van foto's,

En waarom zou je dat laatste willen? Om dezelfde redenen. Onder andere...

Verwijderd @monojack • 8 december 2020 15:13

Het gaat er niet om dat je dit zou moeten willen, het gaat er om dat je weet dat het kan. Als je weet dat het kan kun je er rekening mee houden: Company policy: wachtwoorden niet pixeleren maar gewoon volledig zwarte rechthoeken gebruiken!

GrooV @monojack • 8 december 2020 15:00

nvm

had niet gezien dat dit een premium artikel was

[Reactie gewijzigd door GrooV op 22 juli 2024 18:21]

phosporus @monojack • 8 december 2020 15:08

Altijd mooi als zowel de vraag als het antwoord in dezelfde reactie zit.

Verwijderd @monojack • 8 december 2020 22:27

Je weet op welke website je dit artikel leest??

Dit is een leuke uitdaging en het is precies wat nieuwsgierige mensen doen: dingen ontdekken en daar plezier in hebben.

monojack @Verwijderd • 8 december 2020 23:00

Nee ik weet niet op welke site ik dit vraag

JumpStart 8 december 2020 15:05

Ik gebruik Greenshot met enige regelmaat. Soms ook de blur optie. (Gebruikersnamen, niet-relevante informatie, gevoelige informatie, enzovoorts.)

En wat ik ook voor dit nieuwsbericht al deed: Ik gebruik de blur tool twee of drie keer over elkaar om alle beeld-informatie grondig te wissen.

dehardstyler @JumpStart • 8 december 2020 15:08

Waarom niet gewoon zwart kleuren? Dat lijkt mij sneller toch?

laptopleon @dehardstyler • 8 december 2020 15:18

Sneller en veiliger. Ik denk dat mensen zwarte balken er minder vriendelijk en minder mooi uit vinden zien en daarom een alternatief zoeken.

TweakerNummer @laptopleon • 8 december 2020 16:11

Dan plak je er random generated blurred text overheen.

laptopleon @TweakerNummer • 8 december 2020 16:22

Ik zou zeggen: Zet er dan gewoon voorbeeld-teksten in zonder ze onscherp te maken. Dat is minder werk, 100% veilig, ziet er mooier uit en maakt je uitleg begrijpelijker dus nuttiger, omdat mensen dan ook zien dat hier een email-adres moet staan en daar een telefoonnummer en dergelijke.

JumpStart @dehardstyler • 8 december 2020 15:37

Het zal niet veel schelen, maar standaard heb ik in Greenshot Rectangle niet op "fill" staan. Dus dan is twee keer of drie keer achter elkaar over de te-blurren tekst slepen sneller dan eerst de rechthoektekenfunctie op "vullen" zetten, lelijker massief balkje trekken, en weer terugzetten naar niet opvullen.

Emphast @JumpStart • 8 december 2020 15:12

Waarom overschrijf je de data niet gewoon met een kleurtje?
Blurring is misschien iets mooier, maar waarom het risico nemen.

JumpStart @Emphast • 8 december 2020 15:38

Zoals hierboven aangegeven: Het zal niet veel schelen, maar standaard heb ik in Greenshot Rectangle niet op "fill" staan. Dus dan is twee keer of drie keer achter elkaar over de te-blurren tekst slepen sneller dan eerst de rechthoektekenfunctie op "vullen" zetten, lelijker massief balkje trekken, en weer terugzetten naar niet opvullen.

YopY @JumpStart • 8 december 2020 15:54

Je kunt ook de originele informatie aanpassen voordat je een blur toepast.

Verwijderd 8 december 2020 15:11

Goh, ik verbaas me over de conventionele aanpak. Deep Learning lijkt me hiervoor veel geschikter namelijk.

Cloud @Verwijderd • 8 december 2020 15:18

Had misschien gekund maar dat lijkt me complexer dan deze aanpak. Zoals Mellema aangeeft is het aantal karakters wat achter de pixels kan staan heel beperkt, met de De Bruijn-reeks heb je alles al te pakken. Daarna is het eigenlijk een soort 'brute force' oplossing geworden door gewoon elke combinatie uit de reeks op dezelfde wijze te pixellaten en te vergelijken met je invoer.

Om dit via Deep Learning te doen zou wel kunnen denk ik maar hoeft zeker niet per se.

Verwijderd @Cloud • 8 december 2020 15:25

ja maar nu werkt het met 1 lettertype, is het afhankelijk vd saturation en is het zeer op maat voor dit specifieke voorbeeldje. Terwijl een deeplearning algoritme dit vermoedelijk veel breder kan 'oplossen'.

laptopleon @Verwijderd • 8 december 2020 16:29

In de praktijk zijn het maar een handjevol fonts die bijna altijd gebruikt worden voor online invulvelden. Automatiseren ligt voor de hand maar het zou zomaar kunnen dat het eenvoudiger te doen is door een algoritme, zonder AI erbij te halen.

Fluttershy @laptopleon • 8 december 2020 16:52

Nieuwe beveiliging: alle invoervelden in Comic Sans

laptopleon @Fluttershy • 8 december 2020 19:05

Comic Sans staat op elke computer – dus kan men verwachten dat het gebruikt en zich daarop voorbereiden – en ‘ontblurren’ zal best goed gaan want juist bij een font wat minder standaard is, zijn de lettertekens en dus de pixels na onscherp maken zijn heel verschillend.

Maar je idee is in de basis goed: Neem een font waarbij ontblurren slecht werkt. Waarbij de lettertekens zoveel mogelijk op elkaar lijken en het ontblurren wordt een stuk lastiger. Of doe iets met zwaarte, contrast, schreven, waardoor verschillende lettertekens toch dezelfde tint pixels opleveren en je maakt het ontblurren veel lastiger.

sympa @laptopleon • 9 december 2020 20:54

Als je per sé blokjes wil, neem dan je 'eigen' blokjes, die van een andere tekst zijn gemaakt.

Yodocus 8 december 2020 15:05

Zou zoiets ook op geblurde gezichten werken?

HuHu @Yodocus • 8 december 2020 15:11

Ja, die bestaat ook al een tijdje: https://www.theverge.com/...pulse-stylegan-obama-bias . Dit artikel is best leuk, want het illustreert direct de enorme bias die in dit soort technieken kan zitten.

Mastermind

8 december 2020 16:04

Topaz Gigapixel AI is ook zo'n programma dat uit het niets informatie erbij kan interpoleren. Zo kan een pixelige SD video naar 4K opgeschaald worden waarbij het ook echt gedatailleerder wordt. Erg indrukwekkend!